the relentless Aalto of cyber attacks and the introduction of kovempia rangaistuksia by the Information Commissioner ’ s Office (ICO) are put organizations under valtavan määrän paineita toteuttaa tehokkaita tietoturvastrategioita. Kuitenkin, kun kaikki melu ympärillä uusimmat rikkomukset, kasvu hyökkäys vektorit ja tiukemmat sakot, on helppo unohtaa, mikä on todella ydin tietoturvan.
tässä artikkelissa palataan perusasioihin ja käydään läpi tietoturvan kolme peruspilaria: luottamuksellisuus, eheys ja saatavuus, joka tunnetaan myös nimellä CIA-triadi. Jolla on hyvä käsitys CIA triad on kriittinen suojata organisaatiosi tietojen varastamista, vuotoja ja menetyksiä, koska se on usein nämä kolme elementtiä, jotka vaarantuvat kautta hyödyntää.
luottamuksellisuus
”luottamuksellisuuden” tarkoituksena on varmistaa tietosuojan toteutuminen estämällä tietojen luvaton luovuttaminen. Vain henkilöt, joilla on laillinen lupa käyttää vaadittuja tietoja, olisi sallittava se, joka tunnetaan myös nimellä käyttöoikeudet ”need to know” – periaatteella. Yleisesti ottaen luottamuksellisuuden tavoitteena on estää arkaluontoisten tietojen joutuminen vääriin käsiin.
on olemassa useita toimenpiteitä, jotka voidaan toteuttaa luottamuksellisuuden edistämiseksi, mukaan lukien monivaiheinen todennus, vahvat salasanat, salaus, tietojen erottelu ja käyttäjien määrääminen asianmukaisilla käyttöoikeustasoilla. Ennen tällaisten toimenpiteiden toteuttamista on kuitenkin tärkeää ryhmitellä tietovarat eri luokituksiin sen mukaan, kuinka paljon vahinkoa voi aiheutua, jos asiaton taho pääsee niihin käsiksi. Mitä suurempi negatiivinen vaikutus on, sitä vahvempia turvatarkastusten on oltava.
yleisiä salassapitoon kohdistuvia uhkia ovat:
- Salakuunteluhyökkäykset
- salauksen murtaminen
- haitalliset sisäpiiriläiset
- Man-in-the-middle-hyökkäykset
Integrity
tällä periaatteella pyritään varmistamaan tietojen oikeellisuus, luotettavuus ja oikeellisuus koko niiden elinkaaren ajan. Tiedolla on arvonsa vain, jos se on totuudenmukainen, joten on ryhdyttävä tehokkaisiin toimenpiteisiin, joilla estetään tietojen muuttaminen levossa tai kauttakuljetuksessa luvattomien henkilöiden tai prosessien toimesta.
ei-toivottujen muutosten estämiseksi ja sen varmistamiseksi, että tietoja voidaan palauttaa, jos niitä muutetaan, on välttämätöntä ottaa käyttöön säännölliset varmuuskopiot sekä tehokkaat käyttöoikeudet, versionhallinta ja syötteen validointi.
haasteet, jotka voivat vaikuttaa tietojesi eheyteen, ovat:
- inhimillinen virhe
- palvelimen vaarantaminen, jossa päästä päähän-salausta ei ole
- laitteen fyysinen vaarantuminen
saatavuus
saatavuus tarkoittaa sitä, että tiedot ovat valtuutetun henkilöstön saatavilla silloin, kun niitä tarvitaan. Liiketoiminnan jatkuvuuden turvaaminen perustuu vahvasti tietojen tallentamiseen ja käsittelyyn käytettävien laitteistojen, ohjelmistojen, laitteiden ja viestintäkanavien suorituskyvyn tinkimättömään ylläpitämiseen.
suosittuja menetelmiä, joita käytetään suojaamaan organisaatioita käytettävyyden menetykseltä, ovat kaikkien kriittisten järjestelmien pitäminen ajan tasalla, palvelunestohyökkäysten suojaus, redundanssi, palomuuri ja välityspalvelimet, riittävän kaistanleveyden varmistaminen ja kulunvalvonnan käyttö.
jos pahin tapahtuu ja organisaatioosi kohdistuu tietoturvaloukkaus/hyökkäys, on ratkaisevan tärkeää, että sinulla on mukautuva häiriötilanteiden torjuntasuunnitelma, jotta saatavuushäiriöitä voidaan rajoittaa.
tiedon puute voi usein johtua:
- hajautetut palvelunestohyökkäykset (DDOS)
- luonnonkatastrofien ja tulipalojen aiheuttama käsittelykyvyn menetys
- haittakoodi
- riittämätön kaistanleveys
CIA: n Triadin toteuttaminen
CIA: n yleinen tavoite on ohjata organisaatiosi tietoturvapyrkimyksiä riittävän suojan varmistamiseksi kriittisimmistä avuistanne. Jokainen kolmikannassa oleva elementti vahvistaa osaltaan turvallisuusasentoasi. Jos yksikin kolmikon elementeistä epäonnistuu, se voi tarjota mahdollisuuden pahantahtoisille toimijoille kitkeä tiensä verkkoon.
se, miten priorisoit luottamuksellisuuden, eheyden ja käytettävyyden yhdistelmän, riippuu kuitenkin täysin organisaatiosi vaatimuksista. On tapauksia, joissa yksi pilareista on tärkeämpi kuin muut, esimerkiksi prosessiesi käytettävyys voi olla tärkeämpää kuin tietojesi luottamuksellisuus, joten olisi toteutettava tiukempia toimenpiteitä saatavuuden varmistamiseksi kaikkina aikoina.
Commissum voi auttaa
koska Commissum on vakiintunut Kyber-ja Tietoturvaneuvontayritys, sillä on erinomaiset edellytykset tarjota asiantuntija-apua ja tukea kriittisten liiketoimintaomaisuuksien suojaamiseen. Otamme kokonaisvaltaisen lähestymistavan ymmärtääksemme organisaatiosi teknologiat, tietojenkäsittelytoimet ja työjoukkojen tarpeet ennen kuin kartoitamme yksityiskohtaiset toimenpiteet, jotka sinun on toteutettava tullaksesi turvallisemmaksi. Tarjoamme ratkaisuja testauspalveluihin, koulutukseen ja konsultointiin, voimme auttaa sinua luomaan tietoturvan tason, josta voit olla ylpeä.
jos haluat asiantuntijan neuvoja tietoturva-asennon vahvistamiseen, ota yhteyttä – olemme valmiita auttamaan!